Online-Versandapotheken: Warum das Geburtsdatum im Bestellprozess nicht abgefragt werden darf

Im digitalen Gesundheitswesen sind Datenschutz und rechtssichere Datenverarbeitung von zentraler Bedeutung. Besonders bei sensiblen personenbezogenen Daten wie dem Geburtsdatum gelten strenge Anforderungen an deren Erhebung. Ein aktueller Beschluss des OVG Lüneburg vom 23.01.2024 (Beschl. v. 23.01.2024 – 14 LA 1/24) sorgt nun für Klarheit in der Praxis von Online-Versandapotheken: Diese dürfen im Bestellprozess nicht das konkrete Geburtsdatum abfragen – vielmehr genügt es, wenn lediglich die Volljährigkeit abgefragt wird.

Der Beschluss hat grundsätzliche Bedeutung für alle Onlinehändler im Gesundheitsbereich, aber auch für datenschutzrechtliche Praxisfragen rund um Art. 6 DSGVO und die Prinzipien der Datenminimierung.

Der Sachverhalt im Detail

Die Klägerin war Betreiberin einer Online-Versandapotheke. Sie ließ im Rahmen ihres Bestellvorgangs das Geburtsdatum der Kunden verpflichtend abfragen. Dies sei – so ihre Argumentation – erforderlich, um einerseits der Verpflichtung zu einer ordnungsgemäßen Arzneimittelberatung nachzukommen, andererseits zur eindeutigen Identifikation von Kunden bei möglichen Namensgleichheiten, sowie zur Vermeidung von Doppelanlagen in der Kundendatenbank (Dubletten).

Zusätzlich führte die Apotheke an, dass sie das Geburtsdatum auch zur Durchsetzung offener Forderungen benötige – insbesondere, um säumige Kunden bei Gerichtsvollziehern oder Behörden zweifelsfrei identifizieren zu können (Verweis auf § 755 ZPO).

Die niedersächsische Datenschutzaufsichtsbehörde sah in dieser Praxis einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) – insbesondere gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Sie forderte die Apotheke auf, auf die Abfrage des Geburtsdatums zu verzichten und lediglich eine einfache Altersverifikation (z. B. per Checkbox zur Volljährigkeit) vorzusehen.

Die Apotheke klagte zunächst vor dem Verwaltungsgericht – erfolglos. In der Folge wandte sie sich an das OVG Lüneburg, welches im Beschluss vom 23.01.2024 (Az. 14 LA 1/24) ebenfalls die Klage abwies.

Die Entscheidungsgründe des OVG Lüneburg

a) Keine datenschutzrechtliche Erforderlichkeit der Geburtsdatumsabfrage

Das OVG stellt klar, dass die Abfrage des Geburtsdatums nicht erforderlich im Sinne von Art. 6 Abs. 1 Satz 1 lit. b DSGVO ist, also nicht zur Vertragserfüllung notwendig sei. Zwar besteht eine Beratungspflicht der Apotheke gem. § 20 Abs. 1 und 2 ApBetrO, jedoch bezieht sich diese auf die anwenderbezogene Beratung. Es sei nicht zwingend erforderlich, die genaue Identität des Bestellers zu kennen – entscheidend sei vielmehr, wer das Produkt tatsächlich einnimmt.

Entscheidendes Argument:

„Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird.“

Eine generelle Pflicht, ein Arzneimitteldossier auf den Namen und das Geburtsdatum des Bestellers zu führen, lehnte das OVG ausdrücklich ab – insbesondere, da eine Person auch Medikamente für Dritte bestellen könne (z. B. Angehörige).

Zudem stellte das Gericht klar, dass bereits andere Identifikationsdaten wie Name, Anschrift und Telefonnummer ausreichend seien, um etwaige Namensgleichheiten zu differenzieren. Eine zusätzliche Erhebung des Geburtsdatums sei unverhältnismäßig und damit nicht erforderlich im Sinne des Datenschutzrechts.

b) Kein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO

Auch der Rückgriff der Apotheke auf die sogenannte Interessenabwägungsklausel scheiterte. Die Klägerin trug vor, dass sie zur Durchsetzung von Zahlungsforderungen das Geburtsdatum benötige – etwa wenn ein Gerichtsvollzieher zur Identifikation eines Schuldners das Geburtsdatum anfordere (§ 755 ZPO).

Doch das OVG ließ dieses Argument nicht gelten:

• Es sei nicht dargelegt worden, ob die Versandapotheke überhaupt Kauf auf Rechnung anbietet (bei Vorabzahlung oder Kreditkarte kein Risiko).
• Selbst wenn ein legitimes Interesse bestünde, wäre die Einholung einer Einwilligung für diese Datenverarbeitung der richtige Weg.
• Die Apotheke könne das Ausfallrisiko nicht einseitig auf die Kunden übertragen, indem sie Daten erhebt, die sie nicht zwingend benötigt.

Fazit: Auch unter dem Aspekt des Art. 6 Abs. 1 lit. f DSGVO fehle es an der rechtlichen Grundlage zur Datenverarbeitung.

c) Kein milderes Mittel? Doch – einfache Abfrage der Volljährigkeit

Das Gericht betonte mehrfach, dass die einfache Abfrage der Volljährigkeit – z. B. durch ein Kontrollkästchen „Ich bin über 18 Jahre alt“ – ein gleich geeignetes, aber milderes Mittel darstelle. Der Apotheke gelang es nicht darzulegen, warum nur durch das Geburtsdatum die Geschäftsfähigkeit sichergestellt werden könne.

„Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich.“

Zudem kritisierte das OVG die Annahme, dass Geburtsdaten verlässlich seien. Auch diese könnten falsch angegeben werden, womit der Sicherheitsgewinn faktisch nicht messbar sei.

Bewertung: Bedeutung des Urteils für die Praxis

Das Urteil ist ein Musterbeispiel für die strikte Anwendung der DSGVO-Grundsätze – insbesondere:

• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
• Erforderlichkeit der Verarbeitung (Art. 6 Abs. 1 lit. b DSGVO)
• Verhältnismäßigkeit im Rahmen berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Folgen für die Praxis:

• Online-Apotheken dürfen keine Pflichtabfrage des Geburtsdatums mehr integrieren.
• Eine einfache Abfrage der Volljährigkeit ist rechtlich völlig ausreichend.
• Sollen personenbezogene Daten zur Risikominimierung bei Forderungsausfällen verarbeitet werden, ist eine ausdrückliche Einwilligung des Kunden erforderlich.

Fazit

Mit seinem Beschluss stellt das OVG Lüneburg klar: Der Schutz personenbezogener Daten – insbesondere im sensiblen Gesundheitsbereich – ist nicht verhandelbar. Wer personenbezogene Daten wie das Geburtsdatum erheben will, muss nachweisen, dass dies zwingend erforderlich ist. Ein reines Interesse an Vereinfachung, Dokumentation oder Risikominimierung reicht nicht aus.

Für die Praxis bedeutet das:

• Stärken Sie Ihr Datenschutz-Management.
• Überprüfen Sie Ihre Erhebungsroutinen.
• Ersetzen Sie Geburtsdatumsabfragen durch geeignete Alternativen.

Rechtliche Beratung gewünscht?

Unsere Kanzlei berät Onlinehändler, Gesundheitsdienstleister und Apotheken in ganz Deutschland rund um Datenschutz, DSGVO-Compliance und Abmahnprävention. Wir helfen Ihnen, rechtssichere Prozesse aufzubauen – sprechen Sie uns an.